Rechtslage zu Cookies immernoch nicht klar

Die Rechtslage zum Thema „Analyse und Tracking Cookies“ wird nicht erst seit Ablauf der Übergangsfrist der DSGVO am 25.05.2018 kontrovers diskutiert. Eine lebhafte Diskussion findet vor allem, zwischen den unabhängigen Datenschutzbehörden des Bundes und Länder, den Betriebsdatenschutzbeauftragten in Industrie und Verwaltung und den Interessengruppen für Direktmarketing statt.
Die Frage ob das Setzen von Analyse und Tracking Cookies, oder die Verwendung anderer Tracking-Mechanismen nach dem 25.05.2018, nun noch möglich ist oder nicht (und wenn ja unter welchen Voraussetzungen) wird, von den am Diskurs teilnehmenden Parteien, unterschiedlich beantwortet.
Bis zum 25.05.2018 konnte man die Frage unter Zugrundelegung §15 des Telemediengesetzes (TMG) beantworten. Dem §15 Abs. 3 TMG folgend, darf ein Dienstanbietern (Webseiten-Betreiber) für Zwecke der Werbung, der Marktforschung oder „zur bedarfsgerechten Gestaltung der Telemedien“ Nutzungsprofile erstellen, sofern er dafür Pseudonyme verwendet und der Betroffene dem nicht widerspricht. Ein pseudonymisiertes Profil ist von den „realen Nutzungsdaten“ der betroffenen Person abgekoppelt und lässt nicht ohne weiteres Rückschlüsse auf den realen Nutzer zu.
Der Wortlaut „und der Betroffenen dem nicht widerspricht“ stellt klar, dass das Gesetz eine Widerspruchslösung (sog. Opt-Out) vorsieht. Das Setzen von Tracking und Analyse-Cookies ist demnach grundsätzlich zulässig, der Nutzer muss auf den Einsatz allerdings hingewiesen werden und eine Widerspruchsmöglichkeit vorgehalten werden. Eine Analyse kann nach TMG also „by default“ stattfinden, bis der Nutzer selbst tätig wird um dies zu verhindern.

Das TMG erfasst dabei alle automatisierten Verarbeitungsarten durch Cookies. Zum einen Tracking und Analyse-Cookies, zum anderen auch „erforderlichen Sitzungscookies“, deren zeitliche Gültigkeit sich auf die „Nutzungs-Sitzung“ beschränkt und die nach Ablauf der Sitzung automatisch wieder gelöscht werden. Zu diesen „erforderlichen Cookies“ zählen solche, die die Grundlage für das Anbieten eines Dienstes darstellen.
Dabei handelt es sich meist um:
Warenkorbinhalte
Spracheinstellungen des Users
Login-Informationen (damit der Nutzer sich nicht auf jeder Sub-Domain separat einloggen muss)
Informationen zu Mediainhalten ( i.d.R. Flash-Cookies)
Was hat sich nach dem 25.05.2018 für Dienstanbieter geändert?
Mit Ablauf der Übergangszeit der DSGVO zum 25.05.2018 und deren unmittelbarem in Kraft treten (diesbezüglich herrscht Einigkeit zwischen den Parteien), kann das TMG nicht mehr als Rechtsgrundlage herangezogen werden, da es von der EU-Verordnung verdrängt wird.
Auseinander gehen dagegen die Einschätzungen, was dies für gängige Analyse von Nutzerverhalten im Web in pseudonymisierter Form bedeutet.

Ansicht 1.

Die wirtschaftsnahen Betriebsdatenschutzbeauftragten und die Interessengruppen der Direktmarketingbetreiber gehen davon aus, dass es bei der bisherigen Praxis bleiben könne. Die Gesellschaft für Datenschutz und Datensicherheit (GDD) zieht als Argument heran, dass Werbung – wie in den Erwägungsgründen zur DSGVO dargestellt – ein berechtigtes Interesse i.S.d. Art. 6 Abs. 1 S.1 lit. f. DSGVO darstellt. Da dies der EU-Gesetzgeber zumindest für „Direktwerbung“ – direkte Kundenansprache – klargestellt habe, müsse ein pseudonymisiertes Tracking von Nutzerverhalten, als ein „geringerer Eingriff“ in das Persönlichkeitsrecht des Nutzers, ebenfalls zulässig sein. Das Tracking „by-default“ würde nun auf der Rechtsgrundlage des Art. 6 Abs.1 S.1 lit. f. DSGVO im Rahmen eines berechtigten Interesses des Betreibers erfolgen. Der Nutzer müsse nur wiederum informiert und die Möglichkeit zum Widerspruch gegeben werden. In der Datenschutzerklärung der Webseite müssten demzufolge neben der Art der erhobenen Daten, der Zweck, die Rechtsgrundlage und das berechtigte Interesse dargestellt werden.
Praktisches Vorgehen bei Tracking auf Basis eines berechtigten Interesses
Cookies werden auf der Grundlage eines „berechtigten Interesses“ ohne die vorherige Einwilligung des Nutzers platziert (auch Cookies von Dritten). Der Dienstanbieter informiert anschließend den Betroffenen, beim ersten Besuch auf der Webseite, durch ein Banner über die Verwendung von Cookies. Der Betroffene kann sich über einen Link in die Datenschutzerklärung umfassend informieren. Entweder im Banner oder in der Datenschutzerklärung wird dem Betroffenen die Option angeboten der Nutzung von Cookies zu widersprechen (Opt-Out). Für notwendigen „First-Party-Cookies“ muss ein Opt-Out nicht angeboten werden, da ohne die Funktionen dieser Cookies ein reibungsloser Seitenbetrieb und damit die Nutzung unmöglich wird. In der Datenschutzerklärung wird auf die Rechtsgrundlage und das berechtigte Interesse des Betreibers hingewiesen.

Ansicht 2.

Die Datenschutzkonferenz aus Bundes- und Landesdatenschutzbeauftragten (DSK) ist der Ansicht, dass es „einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen [bedarf]. Das bedeutet, dass eine informierte Einwilligung i. S. d. DSGVO, in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung vor der Datenverarbeitung eingeholt werden muss, d.h. z.B. bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden“. Rechtsgrundlage könne nur der Art. 6 Abs. 1 S.1 lit. a DSGVO sein.
Dies entspricht den Vorgaben der E-Privacy-Richtlinie, die ebenfalls – frühestens Mai 2019 – als Verordnung verabschiedet werden soll. Nach der E-Privacy-Richtlinie dürfen Dienste-Anbieter persönliche Daten ohne Einwilligung nur verarbeiten, wenn dies zwingend erforderlich ist, um den angefragten Online-Service zur Verfügung stellen zu können. Beim Einsatz von Tracking-Mechanismen, „die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen“ und beim Erstellen von Nutzerprofilen bedarf es einer vorherigen „informierten Einwilligung“. Demnach müsse vor dem Verwenden von Analysewerkzeugen wie Google Analytics oder von Werbetrackern vorab eine „Erklärung oder sonstige eindeutig bestätigende Handlung“ eingeholt werden, auch wenn die Daten pseudonymisiert werden.

Praktisches Vorgehen bei Tracking auf Basis einer informierten Einwilligung
Der Dienstanbieter setzt technisch notwendige „First Party Cookies“. Tracking- bzw. Third-Party-Cookies werden erst auf Grundlage einer vorherigen informierten Einwilligung des Nutzers (Art. 6 Abs. 1 lit a DSGVO) gesetzt. Der Nutzer wird zuvor über die zwingend erforderlichen Cookies aufgeklärt und zudem um seine Einwilligung in die Nutzung der nicht erforderlichen Tracking-Cookies gebeten. An dieser Stelle kann auch die weitergehende Möglichkeit zur Einstellung der gesetzten Cookies angeboten werden.

Fazit

Um jegliches Abmahnungsrisiko zu vermeiden und auf „Nummer Sicher“ zu gehen, empfiehlt es sich, auch wenn von der GDD und Interessenverbänden gute Argumente vorgebracht werden, den Nutzer der Webseite durch einen Banner auf die Verwendung von Cookies hinzuweisen, und diesen vor Platzierung von Tracking- oder Third-Party-Cookies um seine Einwilligung zu bitten. So wird der, ohnehin in naher Zukunft anstehenden, E-Privacy-Verordnung vorgegriffen und ein weiteres Tätigwerden wird auch nach deren Umsetzung nicht notwendig.